reCAPTCHA v3

הגדרה

reCAPTCHA v3 היא האיטרציה המרכזית השלישית של שירות ה-CAPTCHA של Google, ששוחררה באוקטובר 2018. בניגוד לקודמותיה — שביקשו ממשתמשים לסמן תיבה או לפתור פאזלי תמונות — v3 היא פסיבית לחלוטין. היא פועלת בשקט ברקע הדפדפן, מתבוננת באינטראקציות משתמש על פני העמוד, ומפיקה ציון סיכון מספרי שבעל האתר משתמש בו להחליט כיצד לטפל במפגש. ציון של 1.0 מייצג ביטחון גבוה שהמבקר הוא בן אדם; ציון של 0.0 מציין תעבורה אוטומטית כמעט בוודאות.

המערכת בונה על תשתית reCAPTCHA v2 אך מסירה את החיכוך של אתגרי משתמש מפורשים. המטרה המוצהרת של Google הייתה לבטל את האינטראקציה “אני לא רובוט” כליל עבור הרוב הגדול של משתמשים לגיטימיים, ולהפחית את שיעורי נטישת העגלה ונטישת הטופס תוך שמירה או שיפור של כיסוי זיהוי הבוטים.

כיצד reCAPTCHA v3 פועלת

reCAPTCHA v3 פועלת באמצעות ספריית JavaScript הנטענת מ-https://www.google.com/recaptcha/api.js. לאחר הטעינה, היא מתחילה לאסוף באופן פסיבי טביעת אצבע התנהגותית עבור המפגש הנוכחי. האותות שנאספים כוללים מסלולי תנועת עכבר, התנהגות גלילה, דפוסי תזמון בין הקשות מקלדת, רצף האינטראקציות עם ה-DOM, גיל ופעילות עוגיית חשבון Google בדפדפן (אם קיימת), ומאפייני הרשת של החיבור המקורי.

כאשר בעל האתר רוצה להעריך פעולה מסוימת — כגון הגשת טופס או לחיצה על כפתור הצבעה — הוא קורא ל-grecaptcha.execute(siteKey, {action: ‘vote’}). זה מפעיל את תשתית ניתוח הסיכון של Google לחישוב ציון עבור המפגש והחזרת טוקן חתום (אסימון רשת JSON) לדפדפן. הטוקן מוגש אז לצד נתוני הטופס.

בצד השרת, היישום הקולט שולח את הטוקן לנקודת הקצה של אימות Google ב-https://www.google.com/recaptcha/api/siteverify, יחד עם המפתח הסודי של האתר. תגובת Google כוללת את הציון המספרי, חותמת זמן, שם הפעולה ואישור שם המארח. מפתח היישום מגדיר סף — בדרך כלל 0.5 — שמתחתיו הגשות נחסמות, מסומנות לסקירה נוספת או נשלחות לאתגר משני כגון reCAPTCHA v2.

reCAPTCHA Enterprise, השכבה הבתשלום הזמינה דרך Google Cloud, מרחיבה את v3 עם אותות נוספים, הסברי ציון מפורטים לפי גורם תורם, תכונות מגן חשבון וערבויות הסכם רמת שירות.

היכן אתם נתקלים בכך

reCAPTCHA v3 נפרסת על פני מגוון רחב של נכסי אינטרנט שבהם אימות ללא חיכוך הוא עדיפות. פלטפורמות תחרות ו-Sweepstakes משלבות אותה בנקודת הקצה של הגשת ההצבעה ובטופס רישום החשבון. פלטפורמות מסחר אלקטרוני משתמשות בה בקופה למניעת מילוי אישורים. פרסומים של חדשות משתמשים בה בנקודות הקצה של הגשת תגובות. חברות שירותים פיננסיים מיישמות אותה בזרימות איפוס סיסמה והעברת כספים. פלטפורמות מכירת כרטיסים משתמשות בה להאטת בוטים סקאלפרים במהלך מכירות מקדימות עם ביקוש גבוה.

מכיוון ש-v3 בלתי נראית, נוכחותה בעמוד אינה ברורה למשתמשים מזדמנים — רק מפתחים הבוחנים את מקור העמוד או מנטרים תעבורת רשת ישימו לב לקריאות ה-API של recaptcha.

דוגמאות מעשיות

תחרות צילום אזורית המתארחת במיקרו-אתר מותאם אישית משלבת reCAPTCHA v3 בנקודת הקצה של ההצבעה שלה. כל הגשת הצבעה מפעילה קריאת grecaptcha.execute. הגשות המקבלות ציון מתחת ל-0.3 מושלכות בשקט; הגשות בין 0.3 ל-0.5 מתועדות לסקירה אצוותית בסוף התחרות; הגשות מעל 0.5 מתועדות מיד. מפעיל התחרות בודק את ההגשות שהוחזקו ופוסל כל אלה החולקות טביעות אצבע מכשיר או מקורן בטווחי IP מרוכזים.

עמותה לאומית מריצה תחרות מענקים שבה הצבעות ציבוריות קובעות חלק מהקצאת המימון. הפלטפורמה משתמשת ב-reCAPTCHA v3 בשילוב עם אישור דוא״ל. ציון ה-CAPTCHA נשמר עם כל רישום הצבעה, ומאפשר למנהל לקבוע מחדש סף על הנתונים לאחר סגירת התחרות — להתאים למעשה את רגישות דחיית הבוטים בדיעבד על בסיס התפלגות הציונים שנצפתה.

תוכנית פרסי סטודנטים אוניברסיטאית פורסת reCAPTCHA Enterprise כדי לנצל הסברי ציון. יומן הביקורת מראה שגל של הצבעות בעלות ציון נמוך על השתתפות מועמדות אחת מקורן בתת-רשת אחת, וספירת ההצבעות של ההשתתפות מותאמת בהתאם לפני שהזוכים מוכרזים.

מושגים קשורים

reCAPTCHA v3 ניצבת לצד דורות CAPTCHA קודמים באותה מערכת אקולוגית של זיהוי. הערך הבסיסי על reCAPTCHA מכסה את מנגנוני v1 ו-v2 בפירוט. hCaptcha ו-Cloudflare Turnstile הן מערכות מתחרות המציעות פשרות שונות סביב פרטיות, סוג אתגר ותלות בספק. ביומטריה התנהגותית מתארת את הקטגוריה הרחבה יותר של מדידת אינטראקציה פסיבית העומדת בבסיס גישת הניקוד של reCAPTCHA v3.

מגבלות / הסתייגויות

reCAPTCHA v3 מאצילה את החלטת סף הסיכון לחלוטין למפעיל האתר, מה שיוצר חוסר עקביות על פני פריסות. אתר המגדיר את הסף שלו ב-0.3 מקבל באופן משמעותי יותר תעבורת בוטים מאתר המוגדר ב-0.7. Google אינה מפרסמת את האותות או המשקלים הספציפיים מאחורי הציון, מה שהופך ביקורת בלתי תלויה לבלתי אפשרית. בנוסף, מכיוון שהמערכת מסתמכת בחלקה על טלמטריית חשבון Google, משתמשים שאינם מחוברים לחשבונות Google — או שמשתמשים בדפדפנים החוסמים עוגיות Google — עשויים לקבל ציונים נמוכים יותר ממה שההתנהגות שלהם הייתה אחרת מצדיקה, ועלולים להפעיל זיהוי חיובי שגוי עבור מצביעים לגיטימיים.